Las variantes H, I, J, K, L y M de Netsky tienen en común que se propagan a través del correo electrónico en un mensaje de características variables y escrito en inglés. A su vez, Netsky.H, Netsky.I, Netsky.J y Netsky.K comparten las siguientes peculiaridades:
– Borran las entradas pertenecientes a varios gusanos, como Mydoom.A, Mydoom.B, Mimail.T y diferentes variantes de Bagle.
– Emiten, a través del altavoz interno, un sonido compuesto de varios tonos aleatorios cuando la fecha del sistema es una determinada. (Así, por ejemplo, Netsky.H tenía programado que el sonido se emitiera el 8 de marzo de 2004, y Netsky.I cuando la fecha del sistema fuera 5 de marzo de 2004).
Entre los aspectos que diferencian a las variantes H, I y J de Netsky destacan los siguientes:
– El tamaño del fichero que los contienen.
– El nombre del mutex que generan para asegurarse de que no se ejecutan varias veces al mismo tiempo.
– Los textos que incluyen en su código, en los que se refieren despectivamente a los creadores de Mydoom y Bagle.
– El número de hilos de ejecución simultánea que crean, para enviarse a través del correo electrónico (32 en el caso de la variante H, ocho en la variante I y 16 en la J).
Por su parte, las variantes K, L y M poseen características propias que les diferencian de las anteriormente citadas, y que se mencionan a continuación.
– El 16 de marzo de 2004, Netsky.K abre el puerto 26 y espera una conexión a través del mismo. Tras realizarla, borra la entrada que creó en el Registro de Windows y muestra un mensaje en pantalla. En algunas ocasiones envía un fichero adjunto comprimido en formato ZIP y protegido mediante contraseña. Esta variante también incluye en su código un texto mucho más extenso que el de sus predecesoras, en el que anuncia que el 11 de marzo era «el día de Skynet».
– El 11, 12 y 13 de marzo de 2004, Netsky.L y Netsky.M aumentan su proporción de envío de mensajes de correo.
Los siguientes gusanos a los que nos referimos hoy son Nachi.F y Nachi.G. Afectan a ordenadores con sistemas operativos Windows 2003/XP/2000/NT y, para propagarse al mayor número de ordenadores posible, aprovechan las vulnerabilidades conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation. A su vez, ambos son capaces de desinstalar los gusanos Mydoom.A, Mydoom.B, Doomjuice.A y Doomjuice.B, finalizando sus procesos y borrando sus ficheros asociados.
Las variantes F y G de Nachi se borran a sí mismas cuando la fecha del sistema sea 1 de julio de 2004 o posterior. Asimismo, las dos provocan un aumento del tráfico de red por los puertos TCP 80, 135 y 445, en su intento de explotar las vulnerabilidades mencionadas anteriormente, al tiempo que intentan propagarse a través del puerto 3127, que es abierto por el troyano que instalan los gusanos Mydoom.A y Mydoom.B.
El noveno gusano que analizamos es Bagle.L, que se difunde a través del correo electrónico -en un mensaje escrito en inglés con características variables-, y de los programas de intercambio de ficheros punto a punto (P2P). Contiene un troyano que abre el puerto TCP 2745 e intenta conectarse a varias páginas web que albergan un script PHP. De este modo, notifica a su autor que puede acceder al ordenador afectado a través del puerto mencionado. Asimismo, Bagle.L termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus, y deja de funcionar cuando la fecha del sistema es superior al 25 de marzo de 2005.
Bagle.M, por su parte, es un gusano que intenta conectarse a varias páginas web que albergan un script PHP, y descarga una lista de direcciones IP de varias páginas PHP. Igualmente, como el código malicioso mencionado anteriormente, termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus.
Terminamos el apartado dedicado a los gusanos con Sober.D, que se difunde por e-mail en un mensaje escrito en inglés o alemán, dependiendo de la extensión del dominio de la dirección de correo del usuario. Busca direcciones de correo electrónico en ficheros que tienen determinadas extensiones, y se envía a sí mismo a todas las que encuentra, empleando para ello su propio motor SMTP. Una vez es ejecutado, Sober.D es fácil de reconocer, ya que muestra mensajes en pantalla.
Cidra.B es un troyano que ha sido enviado masivamente en un mensaje escrito en inglés, con un fichero adjunto llamado P_USB.ZIP. Este código malicioso abre el puerto TCP 5004 y permanece a su escucha. Además, permite descargar en el ordenador afectado un fichero, y posteriormente ejecutarlo, y también actúa como servidor proxy SOCKS4, dirigiendo el tráfico TCP a través del ordenador afectado.
Finalizamos el informe de hoy con StarKeylog.A, herramienta de hacking que registra las pulsaciones de teclado, el nombre de usuario, las contraseñas, las páginas web visitadas y el nombre de las aplicaciones activas de Windows del equipo al que afecta. La información que obtiene la almacena en un fichero encriptado que manda a través del correo electrónico, o guarda en un directorio específico de una red.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/
